將USB儲存設備上鎖防止讓人胡亂使用

文•陳毓暉

　　為了防止用戶擅自安裝軟件、避免病毒傳播或資料外泄，很多學校的電腦都不會安裝磁碟機(Floppy Disk)及光碟機(CD-ROM)。不過自從USB Flash Disk的普及，想防止用戶擅自安裝程式、複製資料便困難多了！如果要完全禁用USB儲存設備，可以在CMOS中停用USB的介面，不過其他USB介面的硬件亦會用不上，有點削足適履。以下將為大家講解如何使用最簡單方便的方法將USB儲存設備「上鎖」，避免其他用戶濫用。

方法1:
　　如果Windows XP尚未安裝USB儲存設備的驅動程式，即從未將USB儲存設備插入過電腦的USB連接埠，在這種情況下可以設置Usbstor.pnf和Usbstor.inf兩個檔案的用戶權限 (圖 1)，沒有足夠權限的用戶便不能安裝和使用USB儲存設備。

圖１：找出Usbstor.pnf和Usbstor.inf這兩個檔案和設置它們的使用者權限

　　這兩個檔案是位於%SystemRoot%\Inf的資料夾下，以Usbstor.inf為例，用滑鼠右擊這個檔案，選擇「內容」，進入「Usbstor.inf內容」視窗的「安全性」頁面 (註1)，再按「進階」，在「權限」頁面中取消勾選「從父項繼承套用到子物件的權限項目，包括明確定義於此的項目」 (圖 2)，之後會出現圖3的「安全性」畫面，告訴大家正修改父項的權限項目，按「移除」即可 (圖3)，返回「安全性」的頁面中，選擇要限制的用戶或用戶群組，以USERS用戶為例，點選這個用戶後。在下方的「完全控制」中勾選「拒絕」 (圖4)，然後按「確定」，之後會詢問大家是否設定一個拒絕權限的項目(圖5)，按「是」即可，接著按照同樣的步驟來設置Usbstor.pnf的權限。大家可以利用以上的方法來設置哪些用戶有權限使用USB儲存設備，就可防止別人胡亂使用了。以USERS用戶為例，如果他將Flash Disk插入電腦後，Windows會出現一個「找到新硬體」的視窗，但由於沒有權限安裝USB儲存設備，因此必須輸入系統管理員的帳戶才可以繼續安裝。

圖2：取消勾選「從父項繼承套用到子物件的權限項目，包括明確定義於此的項目」。

圖3：按「移除」刪除有關的權限頁面。

圖4：點選USERS用戶，再在下方的「完全控制」中勾選「拒絕」。

圖5：按「是」即可設定一個拒絕權限的項目。

方法2:
　　如果Windows已將USB儲存設備的驅動程式安裝妥當，大家便需要使用以下的方法了。先執行Regedit.exe，找出以下的機值：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\USBSTOR

　　雙擊右方的「Start」，將原本是3的「數值資料」改為十六進位數值的4，之後重新開機(圖6和7)。以後當用戶將USB儲存設備連接到電腦時，該設備將無法運行，如果想還原，只要將4改為3即可。

圖6：雙擊右方的「Start」

圖7：將原本是3的「數值資料」改為十六 進位數值的4。

圖8：在「檔案管理員」視窗的「工具」中選擇「資料夾選項」。

圖9：取消勾選「使用簡易檔案管理(建議使用)」。

*註（1)：在Windows XP的專業版(Professional Edition)
中，在進入Usbstor.inf的「內容」時是不會顯示「安全性」的選項，這時便需要「檔案管理員」視窗的「工具」→「資料夾選項」，在「檢視」頁面中取消勾選「使用簡易檔案管理(建議使用)」即可(圖8和9)。
而在Windows XP的家用版 (Home Edition)中，則沒有這項設定。

（作者為澳門三育中學教師）